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Abstract 



According to the invention, a message is coded (101) for a network protocol, for example for SNMPvl , in 
the first computer unit (C1) using the coding format of the network protocol, to produce a coded message 
(CN). The coded message (CN) is subjected to a cryptographic process (104). The resulting 
cryptographically processed message (KBN) is then coded again using the coding format of the network 
protocol (105). The resulting coded cryptographically processed message (CKN) is transferred from the 
first computer unit (C1) to the second computer unit (C2). The received message is then decoded in the 
second computer unit (C2) in accordance with the coding format of the network protocol (109), and the 
decoded message (DKN) is subjected to an inverse cryptographic process (110). The inversely 
crytptographically processed message (IKN) is then decoded again in accordance with the coding format 
of the network protocol. 
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(57) Abstract 

According to the invention, a message is coded (101) 
for a network protocol, for example for SNMPvl,- in the first 
computer unit (CI) using the coding format of the network 
protocol, to produce a coded message (CN). The coded message 
(CN) is subjected to a cryptographic process (104). The resulting 
cryptographically processed message (KBN) is then coded again 
using the coding format of the network protocol (105). The 
resulting coded cryptographically processed message (CKN) is 
transferred from the first computer unit (CI) to the second 
computer unit (C2). The received message is then decoded in 
the second computer unit (C2) in accordance with the coding 
format of the network protocol (109), and the decoded message 
(DKN) is subjected to an inverse cryptographic process (110). 
The inversely crytptographically processed message (IKN) is 
then decoded again in accordance with the coding format of the 
network protocol. 

(57) Zusammenfassung _ 
wiederum decodiert. _ ■ " 
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Beschreibung 

1 . Bezeichxxung 

5 Verfahren und Computersystem zur Codierung einer digitalen 
Nachricht, zur Ubertragung der Nachricht von einer ersten 
Computereinheit zu einer zweiten Computereinheit und zur De- 
codierung der Nachricht 

10 2. Technischer Hintergrtind 

Es sind verschiedene Net zwerkprotokolle im Bereich des Mana- 
gements von Rechnernetzen bekannt . Die Aufgaben fur die Ver- 
waltung von Rechnernetzen wird durch die hohe Verbreitung von 

15 Computern und die immer komplexer werdende Vernetzung von 

Computern zunehmend schwieriger und die dafiir erf orderlichen 
Systeme zum Netzmanagement werden immer machtiger. Im Rahmen 
der Verwaltung von Rechnernetzen gewinnt die Frage der Si- 
cherheit des Netzmanagements immer groSere Bedeutung. Die Si- 

20 cherheit des Netzmanagements hangt sehr stark von den in dem 
System verwendeten Sicherheitstechniken ab. 

Aus dem Dokument (M. Rose, The Simple Book, PTR Prentice 
Hall, 2. Auflage, ISBN 0-13-177254-6, S. 59 - 91, 1994) sind 
25 verschiedene Netzwerkprotokolle fur das Netzmanagement be- 
kannt, beispielsweise das Simple -Network-Management -Protocol 
(SNMP) in der Version 1 (SNMPvl) und in der Version 2 
(SNMPv2) oder auch das Common-Management -Internet -Protocol 
(CMIP) . 

30 

Das SNMPvl hat bisher die weiteste Verbreitung zur Uberwa- 
chung und Kontrolle von Net z werkkomponent en sowohl iiber loka- 
le Rechnernetze (Local Area Networks, LANs) , als auch bei 
globalen Netzen (Wide-Area-Networks, WANs) . 

35 

Das SNMPvl ist im Rahmen des OSI -Kommunikationsschichten- 
Systems oberhalb der Internetprotokolle User-Datagram- 
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Protocol (UDP) und Internet -Protocol (IP) angeordnet . Sowohl 
das UDP als auch das IP weisen erhebliche Schwachen im Be- 
reich der Sicherheit auf , da Sicherheitsmechanismen in diesen 
Protokollen wenig bis gar nicht integriert sind. 

Im weiteren werden sowohl das SNMP als auch CMIP als Netz- 
werkprotokoll bezeichnet . 

Die Netzwerkprotokolle werden zur Ubertragung von Rechner- 
netz -Management -Information zwischen einer ersten Compu- 
tereinheit, die einen sog. Manager enthalt und mindestens ei- 
ner zweiten Compu t ere inhei t , die einen sog. Agenten enthalt, 
verwendet. In einem komplexen Rechnernetz werden tiblicherwei- 
se mindestens eine Managementstation und eine beliebige An- 
zahl von von der Managerapplikation uberwachten und kontrol- 
lierten Rechnern viber das Netzwerkprotokoll tiberwacht bzw. 
gesteuert . 

Es sind jedoch ebenso Netzwerkmanagementarchitekturen be- 
kannt, die mehrere Hierarchien auf weisen, beispielsweise meh- 
rere Computer die von jeweils einem Manager tiberwacht werden, 
und mehrere Computer, die jeweils eine Managerapplikation 
enthalten, die wiederutn von einem weiteren Computer, der eine 
iibergeordnete Managerapplikation enthalt, tiberwacht bzw. kon- 
trolliert werden. 

Ein Computer, der eine Managerapplikation des jeweiligen 
Netzwerkprotokolls enthalt, wird im weiteren als erste Compu- 
tereinheit bezeichnet. 

Jede Computereinheit, die einen Agenten implementiert hat, 
wird im weiteren als zweite Computereinheit bezeichnet. 

Es ist moglich, daS ein Computer sowohl als Manager als auch 
als Agent ausgestaltet ist, entsprechend sind die Funktiona- 
litaten in dem Computer enthalten. 
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Das jeweilige Netzwerkprotokoll kann in dem Computer sowohl 
in Hardware als auch in Software realisiert sein. 



Im weiteren wird von einer einfachen Hierarchie ausgegangen, 
5 d.h. es wird nur der Fall beschrieben, bei dem ein erster 

Computer als Manager eine beliebige Anzahl von zweiten Compu- 
tern, die Agenten, iiberwacht , bzw . steuert . Dies dient jedoch 
lediglich der einfacheren Darstellung. Es ist ohne weiteres 
moglich, die Erfindung auch in einer Architektur mit einer 
10 beliebigen Anzahl von Hierarchieebenen anzuwenden. 

Bei den Netzwerkprotokollen wird von der ersten Computerein- 
heit zu den zweiten Computereinheiten entweder eine Informa- 
tionsabfrage iibertragen oder es wird ein Steuerungswert zur 
15 Steuerung bzw. Kontrolle der zweiten Computereinheit iibertra- 
gen. 



In jeder zweiten Computereinheit ist es bei den bekannten 
Netzwerkprotokollen ublich, daS die von der zweiten Compu- 
20 tereinheit im Rahmen des Netzwerkprotokolls verwendete Infor- 
mation in Form einer sog. Management -Information-Base (MIB) , 
die die Struktur einer hierarchischen Datenbank aufweist, 
speichert . 



25 Die Gesamtstruktur der Management information der Netzwerkpro- 
tokolle wird in einem sog. globalen Registratur-Baum 
(Registraion-Tree) , beispielsweise dem globalen SNMP- 
Registration-Tree gespeichert . Die MIB eines Agenten, also 
einer zweiten Computereinheit, ist ein Teil des Registratur- 

30 Baums des jeweiligen Netzwerkprotokolls. 



Zur Ubertragung von Information zwischen der ersten Compu- 
tereinheit und der zweiten Computereinheit werden digitale 
Nachrichten, beispielsweise eine SNMPvl-Nachricht verwendet . 

35 

Eine SNMPvl-Nachricht enthalt eine Versionsnummer , einen sog. 
Community- String und eine SNMPvl-Protocol-Data-Unit (PDU) . 
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Mit der Versionsnummer wird die Version des verwendeten Netz- 
werkprotokolls angegeben. Die Versionsnummer wird bei der Im- 
plement ierung des jeweiligen Netzwerkprotokolls f estgelegt . 

Der Community- String bei der SNMPvl dient als Passwort fur 
den Zugang zu einer MIB einer zweiten Computereinheit . Der 
Community- String wird bei SNMPvl unverschlusselt zu dem Agen- 
ten gesendet. In dem Agent en, also der zweiten Computerein- 
heit, wird uberpruft, ob der Community- String, der jeweils 
zusammen mit einer SNMPvl -Nachricht empfangen wurde, zu einem 
Zugriff in der MIB der zweiten Computereinheit berechtigt . Da 
das Passwort bei SNMPvl unverschlusselt iibertragen wird, ist 
ein MiEbrauch des Community- Strings leicht moglich, bei- 
spielsweise zur Maskierung eines potentiellen Angreifers und 
zum ungefugten Zugriff auf eine zweite Computereinheit, da es 
sehr einfach ist fur einen potentiellen Angreifer, den Commu- 
nity-String zusammen mit einer IP-Senderadresse eines autori- 
sierten Benutzers abzuhoren. 

SNMPvl hat somit praktisch keinerlei . wirkungsvolle Sicher- 
heitsmechanismen integriert, insbesondere keine wirkungsvolle 
Authentif ikation des SNMPvl -Managers und als Folge der feh- 
lenden Authentif ikation keine zuverlassige Zugriff skontrolle 
auf Seite des Agenten. Ferner enthalt SNMPvl keine Moglich- 
keit, Sicherheitsmechanismen der Datenintegritat oder der Da- 
tenvertraulichkeit zum implement ieren . Somit ist es fur einen 
potentiellen Angreifer ohne weiteres moglich, libertragene 
SNMP-PDUs einfach abzuhoren und die libertragene Information 
zwischen Manager und Agent zu miEbrauchen . 

Die Codierungsregeln der Netzwerkprotokolle sind detailliert 
in (M. Rose, The Simple Book, PTR Prentice Hall, 2. Auflage, 
ISBN 0-13-177254-6, S. 59 - 91, 1994) beschrieben. 

Bei der zweiten Version des SNMP, dem SNMPv2 waren zwar ver- 
schiedene Sicherheitsmechanismen vorgesehen, jedoch war ins- 
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besondere die Verwaltung kryptographischer Schliissel derart 
aufwendig, dafi diese Problematik dazu fiihrte, dafi das SNMPv2 
trotz erheblicher groSerer Moglichkeiten zux Verwaltung von 
Rechnernetzen verglichen mit SNMPvl , sich gegenuber dem 
5 SNMPvl nicht auf dem Markt durchsetzen konnte . Daher wurde 
der urspriingliche SNMPv2 Standard zuruckgezogen und durch ei 
nen modif izierten Standard, bei dem keine Sicherheit inte- 
griert wurde, ersetzt. 

10 Auch CMIP, das aufgrund allgemein wesentlich groSerer Komple 
xitat verglichen mit SNMPvl und SNMPv2 kaum Beriicksichtigung 
in Produkten gefunden hat, konnte sich auf dem Markt nicht 
durchsetzen . 

15 Ferner ist das Konzept von sog. Proxy-Agenten ebenfalls in 

dem Dokument (M. Rose, The Simple Book, PTR Prentice Hall, 2 
Auflage, ISBN 0-13-177254-6, S. 315, 1994) beschrieben. 

3 . Kurzbeschreibung der Erf in dung 

20 

Somit liegt der Erfindung das Problem zugrunde, Verfahren so 
wie eine Computersysteme zur Codierung, Ubertragung und Deco 
dierung einer digitalen Nachricht anzugeben, bei der krypto- 
graphische Sicherheitsmechanismen vorgesehen sind, die einfa 

2 5 cher sind als bei den bekannten Verfahren und Anordnungen. 

Bei dem Verfahren gemafi Patentanspruch 1 wird eine digitale 
Nachricht, die von der ersten Computereinheit zu der zweiten 
Compute re inhe it ubertragen werden soli, unter Verwendung ei- 

3 0 nes Codierungsf ormats eines Netzwerkprotokolls zu einer co- 

dierten Nachricht codiert . Die codierte Nachricht wird minde 
stens einem kryptographischen Verfahren unterzogen und die 
kryptographisch bearbeitete codierte Nachricht wird wiederum 
unter Verwendung des Codierungsf ormats des Netzwerkprotokoll 
35 codiert. 
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Bei dem Verfahren gemafi Patentanspruch 2 wird die Nachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls de- 
codiert. Ferner wird die decodierte kryptographisch bearbei- 
tete Nachricht einem zu dem mindestens einen kryptographi- 
schen Verfahren inversen kryptographischen Verfahren unterzo- 
gen und die invers kryptographisch bearbeitete Nachricht ent- 
sprechend dem Codierungsformat des Netzwerkprotokolls deco- 
diert . 

Bei dem Verfahren gemaS Patentanspruch 3 wird eine digitale 
Nachricht, die von der ersten Computereinheit zu der zweiten 
Computereinheit iibertragen werden soil, unter Verwendung ei- 
nes Codierungs formats eines Netzwerkprotokolls zu einer co- 
dierten Nachricht codiert . Die codierte Nachricht wird minde- 
stens einem kryptographischen Verfahren unterzogen und die 
kryptographisch bearbeitete codierte Nachricht wird wiederum 
unter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
codiert. Nach erfolgter Codierung wird die gesamte Nachricht 
von der ersten Computereinheit mindestens zur zweiten Compu- 
tereinheit iibertragen. Die empfangene Nachricht wird in der 
zweiten Computereinheit entsprechend dem Codierungsformat des 
Netzwerkprotokolls decodiert . AnschlieSend wird die decodier- 
te Nachricht dem zu dem verwendeten kryptographischen Verfah- 
ren inversen kryptographischen Verfahren unterzogen. In einem 
letzten Schritt wird die invers kryptographisch bearbeitete 
Nachricht entsprechend dem Codierungsformat des Netzwerkpro- 
tokolls decodiert. 

Durch die "doppelte" Codierung bzw. Decodierung mit dem je- 
weiligen Netzwerkprotokoll wird eine sehr einfache, standard- 
konforme Losung vorgeschlagen, die Ubertragung von Nachrich- 
ten eines Netzwerkprotokolls kryptographisch abzusichern. 
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Das Verfahren weist ferner den erheblichen Vorteil der einfa- 
chen Realisierbarkeit und somit der schnellen Durchf uhrbar- 
keit mit Hilfe eines Rechners auf . 

5 Ein weiterer Vorteil ist darin zu sehen, dafi die Netzwerkpro- 
tokolle unverandert bleiben konnen und keine neuen Netzwerk- 
protokolle definiert werden mussen. Somit ist keine aufwendi- 
ge Versionsumstellung oder gar Neudef inition von. Netzwerkpro- 
tokollen erf orderlich . Die kryptographische Sicherheit des 
10 jeweiligen Netzwerkprotokolls kann ohne groSeren Aufwand er- 
heblich erhoht werden. 

Das Computer system gemafi Patentanspruch 12 enthalt mindestens 
15 eine Recheneinheit , die derart eingerichtet ist, daS das Ver- 
fahren nach einem der Anspriiche 1 bis 11 durchgefiihrt wird. 

Das Computersystem gemafi Patentanspruch 13 zur Codierung ei- 
ner digitalen Nachricht unter Verwendung eines Codierungsf or- 
20 mats eines Netzwerkprotokolls, umfaSt mindestens folgende 
Komponenten : 

- ein erstes Mittel zur Codierung der digitalen Nachricht un- 
ter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
zu einer codierten Nachricht, 

25 - ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 

- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls . 

30 

Das Computersystem gemaS Patentanspruch 14 zur Decodierung 
einer digitalen Nachricht, welches in einem Codierungsf ormat 
eines Netzwerkprotokolls vorliegt, umfaSt mindestens folgende 
Komponenten : 

35 ein funftes Mittel zum Empfangen der codierten kryptogra- 

phisch bearbeiteten Nachricht von der ersten Computereinheit , 
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-- ein sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codie rungs format des Netzwerkproto- 
kolls, 

-- ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungs for- 
mat des Netzwerkprotokolls. 

Das Computersystem gemaS Patentanspruch 15 zur Codierung ei- 
ner digitalen Nachricht, zur Ubertragung der Nachricht von 
einer ersten Computereinheit zu einer zweiten Computereinheit 
und zur Decodierung der Nachricht enhalt mindestens folgende 
Komponenten , 

- eine erste Computereinheit, die mindestens folgende Kompo- 
nenten umf a£t : 

-- ein erstes Mittel zur Codierung der digitalen Nachricht 
unter Verwendung eines Codierungsf ormats eines Netzwerkproto- 
kolls zu einer codierten Nachricht, 

-- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 

-- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls , 

-- ein viertes Mittel zum Senden der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit 
zu der zweiten Computereinheit, 

- eine zweite Computereinheit, die mindestens folgende Kompo- 
nenten umf aSt : 

-- ein funftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit, 
-- ein sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls, 
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ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
5 phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

Somit weisen die Computersysteme die oben im Zus.ammenhang mit 
dem Verfahren beschriebenen Vorteile ebenfalls auf . 

10 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
den abhangigen Anspriichen. 

Besonders vorteilhaft ist das Verfahren im Zusammenhang mit 
15 SNMPvl als Netzwerkprotokoll anwendbar, da fur SNMPvl bisher 
praktisch keine kryptographische Sicherheit vorhanden ist. 

Doch auch bei den anderen Netzwerkprotokollen kann dieses 
Verfahren und die entsprechende Anordnung zur Durchfiihrung 

2 0 des Verfahrens verwendet werden, da auch dort die Gesamtkom- 

plexitat des jeweiligen Netzwerkprotokolls erheblich redu- 
ziert wird. 

Ferner ist es bei dem Computersystem vorteilhaft, ein zweites 
25 Mittel zur kryptographischen Bearbeitung der codierten Nach- 
richt, ein drittes Mittel zur Codierung der kryptographisch 
bearbeiteten Nachricht unter Verwendung des Codierungsf ormats 
des Netzwerkprotokolls sowie ein viertes Mittel zum Senden 
der codierten kryptographisch bearbeiteten Nachricht zu der 

3 0 zweiten Computereinheit als einen sog. Proxy- Agenten auszuge- 

stalten, der uber eine als gesichert angenommene Kommunikati- 
onsverbindung zu dem ersten Mittel zur Codierung der digita- 
len Nachricht unter Verwendung des Netzwerkprotokolls verbun- 
den ist. Der erste Proxy-Agent und die erste Computereinheit 
3 5 konnen gemeinsam in einer Computereinheit oder auch in zwei 
unterschiedlichen Computereinheiten realisiert sein. 
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Auf diese Weise wird unter Verwendung der Proxy -Technik, die 
aus dem Dokument (M. Rose, The Simple Book, PTR Prentice 
Hall, 2. Auflage, ISBN 0-13-177254-6, S. 315, 1994) bekannt 
ist, die Realisierung eines Computer systems zur kryptogra- 
phisch sicheren Ubertragung von Nachrichten des Codierungs- 
f ormats eines Netzwerkprotokolls erreicht . 

Dieser Vorteil ist ebenso dann gegeben, wenn ein funftes Mit- 
t-el zum- Empfang der codierten kryptographisch bearbeiteten 
Nachricht, ein sechstes Mittel zur Decodierung der empfange- 
nen Nachricht entsprechend dem Codierungs format des Netzwerk- 
protokolls sowie ein siebtes Mittel zur inversen kryptogra- 
phischen Bearbeitung der decodierten kryptographisch bearbei- 
teten Nachricht zusammen in einem zweiten Proxy-Agenten rea- 
lisiert sind, der iiber eine als gesichert angenommene Kommu- 
nikationsverbindung mit dem Agenten der zweiten Computerein- 
heit unter Verwendung des Netzwerkprotokolls verbunden ist. 

4 . Kurzbeschreibung der Figuren 

In den Fig. ist ein Ausf iihrungsbeispiel der Erfindung darge- 
stellt, die im weiteren naher erlautert wird. 

Es zeigen 

Fig. 1 ein Ablauf diagramm, in dem das erf indungsgemafie 
Verfahren mit Realisierungsdetails fur einen 
Get -Request dargestellt ist; 

Fig. 2 ein Ablauf diagramm, in dem das Verfahren in seinen 
Verf ahrensschritten mit Realisierungsdetails fur 
einen Set-Request dargestellt ist; 

Fig. 3 ein Ablauf diagramm, in dem das Verfahren in 
abstrakter Form dargestellt ist; 

Fig. 4 eine Skizze eines moglichen Aufbaus einer krypto- 
graphisch bearbeiteten SNMPvl -Nachricht , in der der 
Sicherheitsmechanismus der Authentif ikation der 
Originaldaten realisiert wird; 

Fig. 5 der Aufbau einer moglichen kryptographisch bearbei- 
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teten SNMPvl-Nachricht, mit der die Sicherheits- 
dienste Integritat und Vertraulichkeit der ubertra- 
genen SNMPvl-Nachricht realisiert wird; 
Fig. 6 der mogliche Aufbau einer kryptographisch bearbei- 
teten SNMPvl-Nachricht, in der der Sicherheits- 
dienst der Vertraulichkeit der SNMPvl-Nachricht 
realisiert wird; 

5 . Figurenbeschreibung 

Get-Request 



In Fig. 1 sind eine erste Computereinheit CI und eine zweite 
Computereinheit C2 symbolhaft dargestellt . Die erste Compu- 
15 tereinheit CI weist eine Managerapplikation MA des SNMPvl so- . 
wie einen ersten Proxy-Agenten PA1 auf . 

Die zweite Computereinheit C2 weist einen SNMPvl -Agenten AG 
sowie einen zweiten Proxy-Agenten PA2 auf Seiten der zweiten 
20 Computereinheit C2 auf. 

In einem ersten Schritt 101 wird in der ersten Computerein- 
heit CI ein Get-Request gebildet. Unter der Bildung eines 
Get -Requests ist zu verstehen, daS eine digitale Nachricht 

25 unter Verwendung eines Codierungsf ormats des SNMPvl - 

Netzwerkprotokolls zu einer codierten Nachricht, dem Get- 
Request, codiert wird. Dies erfolgt in einem ersten Mittel 
101 der ersten Computereinheit CI zur Codierung der digitalen 
Nachricht unter Verwendung des Codierungsf ormats des Netz- 

3 0 werkprotokolls . 

In einem zweiten Schritt 102 wird der Get-Request, d.h. die 
codierte Nachricht CN von dem ersten Mittel Ml zu dem ersten 
Proxy-Agenten PA1 auf der Seite der ersten Computereinheit CI 
3 5 gesendet. 
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In dem ersten Proxy-Agenten PA1 wird in einem dritten Schritt 
103 die codierte Nachricht CN empfangen. 

In einem vierten Schritt 104 wird die codierte Nachricht CN 
in dem ersten Proxy-Agenten PA1 mindestens einem kryptogra- 
phischen Verfahren unterzogen. Zur kryptographischen Bearbei- 
tung der codierten Nachricht in dem vierten Schritt 104 wird 
ein zweites Mittel 104 eingesetzt. 

Unter einem kryptographischen Verfahren ist jedes beliebige 
kryptographische Verfahren z.B. zur Authentif ikation, zur Si- 
cherung der Datenintegritat oder auch zur Verschliisselung von 
digitalen Daten zu verstehen. Hierbei konnen beispielsweise 
das RSA-Verfahren oder auch der Data-Encryption-Standard, der 
als DES-Verfahren bezeichnet wird, Verwendung finden. 

Als Ergebnis erhalt man eine. kryptographisch bearbeitete 
Nachricht KBN, deren Format beispielsweise in den Fig. 3 bis 
6 dargestellt ist und im weiteren naher erlautert wird. 

In einem funften Schritt 105 wird die kryptographisch bear- 
beitete Nachricht KBN wiederum unter Verwendung des Codie- 
rungsformats des SNMP-Netzwerkprotokolls codiert . Unter die- 
sem Verfahrensschritt ist zu verstehen, daS der kryptogra- 
phisch bearbeitete Get-Request vorzugsweise in einem Set- 
Request codiert wird, d.h. eingekapselt wird. Ferner ist ein 
drittes Mittel 105 zur Codierung der kryptographisch bearbei- 
teten Nachricht unter Verwendung des Codierungs formats des 
Netzwerkprotokolls vorgesehen. 

Wie im weiteren deutlich wird, ist es vorteilhaft, jede Art 
von Nachricht, die von der ersten Compute re inhe it CI zu der 
zweiten Computereinheit C2 iibertragen werden soil, in dem 
funften Schritt 105 als Set-Request zu codieren. Dies ist 
vorteilhaft, da die Syntax von SNMPvl fur einen Get-Request 
lediglich Object- Indentifiers als zu iibertragende Nutzdaten 
erlaubt. Es ist bei SNMPvl nicht moglich, die kryptographisch 
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bearbeitete Inf ormation in einem SNMP-Get -Request einzubin- 
den . 

In einem sechsten Schritt 106 wird der Set-Request als co- 
5 dierte kryptographisch bearbeitete Nachricht CKN von der er- 
sten Computereinheit CI zu der zweiten Computereinheit C2, 
d.h. von dem ersten Proxy- Agenten PA1 zu einem zweiten Proxy - 
Agenten PA2 ubertragen. 

10 Von dem zweiten Proxy-Agenten PA2 der zweiten Computereinheit 
C2 wird die codierte kryptographisch bearbeitete Nachricht 
CKN in einem siebten Schritt 107 empfangen. Hierzu ist ein 
fiinftes Mittel 107 zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht CKN vorgesehen. 

15 

In einem achten Schritt 108 wird von dem zweiten Proxy- 
Agenten PA2 standardkonf orm eine Get -Response als Antwort auf 
den Set-Request an den ersten Proxy-Agenten PA1 der ersten 
Computereinheit CI gesendet. Der Get-Response enthalt als Be- 
20 statigung den jeweiligen Fehlerzustand . 

In einem neunten Schritt 109 wird die empfangene codierte 
kryptographisch bearbeitete Nachricht CKN unter Verwendung 
des Codierungsf ormats des Netzwerkprotokolls entkapselt, d.h. 
25 decodiert . Es ist ein sechstes Mittel 10 9 zur Decodierung der 
empfangenen Nachricht entsprechend dem Codierungsf ormat des 
SNMPvl - Protokol Is vorgesehen . 

In einem zehnten Schritt 110 wird von dem zweiten Proxy- 
30 Agenten PA2 das zu dem jeweils vorgesehenen .kryptographischen 
Verfahren inverse kryptographische Verfahren beispielsweise 
zur Authentif ikation, zur Entschlusselung bzw. zur Sicherung 
der Integritat der ubertragenen Daten auf die decodierte 
kryptographisch bearbeitete Nachricht DKN angewendet . Hierzu 
35 ist ein siebtes Mittel 110 zur inversen kryptographischen Be- 
arbeitung der decodierten kryptographisch bearbeiteten Nach- 
richt DKN vorgesehen. 
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Weiterhin wird die invers kryptographisch bearbeitete Nach- 
richt IKN, d.h. der originale Get -Request, von dem zweiten 
Proxy-Agenten PA2 zu der Agentenapplikation AG der zweiten 
Computereinheit C2 gesendet . 

In einem elf ten Schritt 111 wird der Get -Request von dem 
Agenten AG empfangen. Hierzu ist ein achtes Mittel ill Emp- 
fangen des Get -Requests vorgesehen. 

In einem weiteren Schritt 112 wird die invers kryptographisch 
bearbeitete Nachricht entsprechend dem Codierungsf ormat des 
SNMPvl-Protokolls zu der digitalen Nachricht decodiert, d.h. 
ausgewertet. Dies bedeutet, da£ fur den Spezialfall des Get- 
Requests die iiber den Get -Request angeforderte Information 
eines Werts eines sog. Managed Objects (MO) , der in der MIB 
des Agenten AG gespeichert ist, ausgelesen wird. Die Angabe, 
welche Information tatsachlich angefordert wird, ist als Ob- 
ject-Identifier in dem urspriinglichen Get -Request enthalten. 

Es wird also in dem zwolften Schritt 112 die angeforderte Ak- 
tion ausgefiihrt, in diesem Fall das Auslesen der angef order- 
ten Information, einen Wert eines Managed Objects. Hierzu ist 
ein neuntes Mittel 112 zur Durchfiihrung der angef orderten Ak- 
tion vorgesehen. 

Wie es in SNMPvl vorgesehen ist, wird von dem Agenten AG in 
der zweiten Computereinheit als Antwort auf einen Get -Request 
ein Get -Response gebildet und in einem dreizehnten Schritt 
113 zu dem zweiten Proxy-Agenten PA2 gesendet. Der Get- 
Response erhalt das Ergebnis der Aktion, die von der ersten 
Computereinheit CI in dem Get-Request angefordert wurde . 

Der Get -Response wird im weiteren als Antwortnachricht AN be- 
zeichnet. Die Antwortnachricht AN kann entweder direkt zu der 
ersten Computereinheit CI iibertragen werden oder, zur weite- 
ren Erhohung der kryptographischen Sicherheit, entsprechend 
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dem Codierungsf ormat des Netzwerkprotokolls noch einmal co- 
diert werden . Es ist in der zweiten Computereinheit C2 ein 
zehntes Mittel 112 zum Senden des Ergebnisses der Aktion zu 
der ersten Computereinheit CI vorgesehen. 

5 

Weiterhin ist ein elftes Mittel 113 zur Bildung der Antwort- 
nachricht AN vorgesehen, die das Ergebnis der Aktion enthalt 
and zur Codierung der Antwortnachricht AN entsprechend dem 
Codierungsf ormat des SNMPvl-Protokolls . 

10 

In einem vierzehnten Verf ahrensschritt 114 wird von dem zwei- 
ten Proxy-Agenten PA2 die Antwortnachricht AN empfangen. 
Hierzu ist ein zwolftes Mittel 114 zum Empfangen der Antwort- 
nachricht AN vorgesehen. 

15 

In einem fiinfzehnten Schritt 115 wird die codierte Antwort- 
nachricht AN mindestens einem kryptographischen Verfahren un- 
terzogen. Hierfiir ist ein dreizehntes Mittel 115 zur Bearbei- 
tung der Antwortnachricht AN mit mindestens einem kryptogra- 
20 phischen Verfahren vorgesehen. Das Ergebnis dieses Verfah- 

rensschritts ist eine in einem Sicherheitsrahmen eingekapsel- 
te Get -Response . 



Die kryptographisch bearbeitete Antwortnachricht KB AN wird in 
25 einer Sicherheits-MIB in dem zweiten Proxy-Agenten PA2 ge- 

speichert (Schritt 116) „ Der Aufbau der Sicherheits-MIB wird 
im weiteren detailiert beschrieben. 

Urn die kryptographisch bearbeitete Antwortnachricht KB AN zu 
3 0 erlangen, wird von dem ersten Proxy-Agenten PA1 der ersten 

Computereinheit CI ein Get -Request, d.h. eine Abruf nachricht 
ABN gebildet. Hierfiir ist ein vierzehntes Mittel 117 zur Bil- 
dung und Codierung der Abruf nachricht ABN entsprechend dem 
Codierungsf ormat des SNMPvl-Protokolls vorgesehen, mit der 
3 5 die kryptographisch bearbeitete Antwortnachricht KB AN von der 
zweiten Computereinheit C2 angefordert wird. Ferner wird die 
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codierte Abruf nachricht ABN von der ersten Computereinheit CI 
zu der zweiten Computereinheit C2 gesendet . 

In einem achtzehnten Schritt 118 wird in dem zweiten Proxy- 
Agenten PA2 die Abruf nachricht ABN, d.h. in diesem Fall der 
Get -Request, empfangen und standardkonf orm der ubliche Get- 
Response, der in diesem Fall die kryptographisch bearbeitete 
Antwortnachricht KBAN enthalt, an den ersten Proxy- Agenten 
PA-1 gesendet. Hierzu ist in der zweiten Computereinheit C2 
ein fiinfzehntes Mittel 118 zum Empfangen der Abruf nachricht 
ABN und zur Codierung der in ( der Abruf nachricht ABN angefor- 
derten kryptographisch bearbeiteten Antwortnachricht KBAN 
entsprechend dem Codierungsf ormat des SNMPvl-Protokolls , d.h. 
zur Codierung des angef orderten Get -Response vorgesehen. 

Die codierte kryptographisch bearbeitete Antwortnachricht 
wird von dem zweiten Proxy-Agenten PA2 zu dem ersten Proxy- 
Agenten PA1 ubertragen. 

In einem weiteren Schritt 119 wird in dem ersten Proxy- 
Agenten PA1 die codierte kryptographisch bearbeitete Antwort- 
nachricht, enthalten in der standardkonf ormen Get -Response, 
empfangen. Hierfur ist ein sechzehnttes Mittel 119 zum Empfan- 
gen der Get-Response in der ersten Computereinheit CI vorge- 
sehen. 



In einem weiteren Schritt 120 wird der Get -Request decodiert, 
d.h. entkapselt und der ursprunglich von dem Agenten AG der 
zweiten Computereinheit C2 gebildete Get -Response zu der Ma- 
nagerapplikation MA der ersten Computereinheit CI gesendet. 
Hierfur ist ein siebzehntes Mittel 120 vorgesehen zum Deco- 
dieren der Get -Response und zum Senden der urspriinglichen, in 
der Get -Response enthaltenen Get -Response, die die angef or- 
derte Information enthalt, zu der Managerapplikation MA. 

In einem letzten Schritt 121 wird die Get-Response von der 
Managerapplikation MA empfangen und der angeforderte Wert 
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ausgewertet und abgespeichert . Hierfiir ist ein achtzehntes 
Mittel 121 zum Empfangen und Auswerten von Management informa- 
tion in der Managerapplikation MA vorgesehen. 

5 Auf diese Weise wird erreicht, daS ohne grofien Mehraufwand 
und ohne das Verfahren des SNMPvl-Protokolls andert zu mtis- 
sen, eine kryptographische Sicherung der Kommunikation mog- 
lich wird. 

10 Get-Next-Request 

Fur einen Get -Next -Request , der ebenfalls im Rahmen des 
SNMPvl-Protokolls vorgsehen ist, wird das Verfahren auf die 
gleiche Weise, wie fur den Get -Request beschrieben, durchge- 
15 fiihrt, lediglich mit einem veranderten, entsprechend angepaS- 
ten Object-Identifier fur den angef orderten Wert des jeweili- 
gen Managed Objects. 

Set-Request 

20 

In Fig. 2 ist das Verfahren fur einen Set-Request als codier- 
te digitale Nachricht CN dargestellt . Zur einf acheren Erlau- 
terung wird lediglich das Verfahren im weiteren beschrieben, 
die Mittel sind entsprechend ausgestaltef, daS die einzelnen 
25 Verf ahrensschritte mit den Computereinheiten CI, C2 durchge- 
fuhrt werden konnen. 

In einem ersten Schritt 201 wird der Set -Request, d.h. die 
digitale Nachricht codiert. 

30 

In einem zweiten Schritt 202 wird von dem Manager MA der er- 
sten Computereinheit der Set -Request, d.h. die codierte Nach- 
richt CN zu dem ersten Proxy-Agenten PA1 gesendet . 

35 In einem dritten Schritt 203 wird die codierte Nachricht CN 
von dem ersten Proxy-Agenten PA1 empfangen. 



WO 99/00929 



PCT/DE98/01693 



18 

In einern vierten Schritt 204 wird ein kryptographisches Ver- 
fahren auf die codierte Nachricht CN angewendet . Das Ergebnis 
der kryptographischen Bearbeitung ist eine kryptographisch 
bearbeitete Nachricht KBN. 

In einem fiinften Schritt 205 wird die kryptographisch bear- 
beitete Nachricht KBN wiederum unter Verwendung des Codie- 
rungsf ormats des SNMPvl-Protokolls codiert zu einer codierten 
kryptographisch bearbelteten Nachricht CKN. Hierfiir wird wie- 
derum ein Set -Request verwendet . 

Der Set -Request wird von dem ersten Proxy-Agenten PA1 zu dem 
zweiten Proxy-Agenten PA2 gesendet (Schritt 206) . 

In einem siebten Schritt 2 07 wird von dem zweiten Proxy- 
Agenten PA2 der Set -Request empfangen. 

Als Reaktion auf den Empfang des Set -Requests sendet stan- 
dardkonform der zweite Proxy-Agent PA2 eine Get -Response , die 
als Bestatigung den Fehlerzustand enthalt (Schritt 208) . 

In einem weiteren Schritt 209 wird die codierte kryptogra- 
phisch bearbeitete Nachricht decodiert, d.h. » ausgepackt 11 . 
Das Ergebnis ist die decodierte kryptographisch bearbeitete 
Nachricht DKN . 



In einem zehnten Schritt 210 wird jeweils das zu dem verwen- 
deten kryptographischen Verfahren inverse kryptographische 
Verfahren auf die kryptographisch bearbeitete Nachricht DKN 
angewendet. Ferner wird die invers kryptographisch bearbeite- 
te Nachricht IKN, d.h. der ursprungliche Set-Request von dem 
zweiten Proxy-Agenten PA2 zu dem Agenten AG der zweiten Com- 
putereinheit C2 gesendet. 

In einem elften Schritt 211 wird von dem Agenten AG die deco- 
dierte kryptographisch bearbeitete Nachricht empfangen und in 
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einem weiteren Schritt 212 die in dem Set -Request angegebene 
Aktion durchgef uhrt . 

Als Reaktion sendet der Agent AG der zweiten Computereinheit 
5 C2 standardkonform die Antwortnachricht AN in Form eines Get- 
Response zu dem zweiten Proxy-Agenten PA2 (Schritt 213) . 

In einem vierzehnten Schritt 214 empfangt der zw.eite Proxy- 
Agent PA2 die Antwortnachricht AN. 

10 

In einem funfzehnten Schritt 215 wird wiederum auf die Ant- 
wortnachricht AN mindestens ein vorgebbares kryptographisches 
Verf ahren angewendet . 

15 Die weiteren Verf ahrensschritte 216, 217, 218, 219, 220 sowie 
221 entsprechen den in Zusammenhang mit einem Get-Request be- 
schriebenen Verf ahren, den Verf ahrensschritten 116, 117, 118, 
119, 120 sowie 121. 

20 Die Sicherheits-MIB enthalt Eintrage, die in ihrer Struktur 

die ubliche Syntax zur Beschreibung von Mananged-Objects ver- 
wendet . Eintragen in der Sicherheits-MIB werden eindeutige 
Object-Identifiers zugeordnet, die zur eindeutigen Identifi- 
zierung der Eintrage in der Sicherheits-MIB verwendet werden. 

25 Die Object -Identifiers werden in der globalen SNMP-MIB regi- 
striert . Damit wird erreicht, daS der Zweck und die Syntax 
des jeweiligen Managed-Objects bekannt ist. Die verschiedenen 
Eintrage der Sicherheits-MIB konnen beispielsweise entweder 
digital unterzeichnete , integritatsgeschutzte , oder ver- 

30 schliisselte Managementinf ormation enthalten. Selbstverstand- 
lich konnen beliebige Kombinationen der oben beschriebenen 
Mechanismen in der Sicherheits-MIB eingetragen sein und somit 
im Rahmen des Verfahrens beriicksichtigt werden. 

35 Im weiteren wird eine mogliche Beispiel-Syntax in ASN.l 

(Abstract Syntax Notation One) einer solchen Sicherheits-MIB 
dargestellt . 
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Die Syntax eines sicheren, eingekapselten Managed-Objects i< 
OCTET STRING Der Aufbau eines solchen eingekapselten Mana-' 
ged-Objects ist wie f olgt : 
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SecureMO : : = 

SEQUENCE { 

PlainHeader, 
EncapsulatedData 

5 } 

PlainHeader ::= 
SEQUENCE { 

SecurityAssociationID, 
10 UsedAlgorithms , 

AlgorithmParameters 

} 

EncapsulatedData : : = OCTET STRING 
15 signed, encrypted, or integrity protected 

-- ASN. 1- encoded data 

SecurityAssociationID ::= OBJECT IDENTIFIER 

2 0 UsedAlgorithms = INTEGER (0..7) 

value 0 stands for „no security" 

- - value 1 stands for „ signed" 

- - value 2 stands for „ integrity protected" 

value 3 stands for „ signed" and „ integrity protected" 

25 -- value 4 stands for „ encrypted" 

-- value 5 stands for „ signed" and „encrypted" 

value 6 stands for „ integrity protected" and 
„ encrypted" 

value 7 stands for „ signed", „ integrity protected" 

3 0 - - and „ encrypted" 

AlgorithmParameters : := 

necessary parameters for the particular 
algorithms in use 

35 
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Der Wert des Parameters UsedAlgorithms wird nach dem folgen- 
den Schema gebildet. Er kann als Bit-String der Lange 3 Bit 
reprasentiert werden, wobei das Bit niedrigster Wertigkeit 
die Verwendung digitaler Signatur („signed«) anzeigt, das Bit 
mit zweitniedrigster Wertigkeit beispielsweise anzeigt, ob 
Mechanismen zur Sicherung der Datenintegritat vorgesehen sind 
(.integrity protected") , und das Bit mit der hochsten Wertig- 
keit beschreibt, ob die Daten verschliisselt wurden 
(„ encrypted") . 

Somit kann das Ergebnis jeder kryptographischen Bearbeitung 
einer Nachricht als ein Bit-String mit der Lange 3 beschrie- 
ben werden. Die kryptographisch bearbeitete Nachricht wird 
als OCTET STRING codiert . Besteht sie aus einer nicht durch 8 
teilbaren Anzahl von Bits, so kann sie jedoch durch Anwendung 
ernes sog. Paddings, d.h. durch .Auffullen von Bits ohne se- 
mantische Bedeutung, zu einem OCTET STRING erweitert werden. 

Diese Situation ist beispielhaft in einem Ablauf diagramm in 
Fig. 3 dargestellt. 

Ein SNMPvl-Request SR wird gemaE den Vorschriften zur Codie- 
rung des jeweiligen Netzprotokolls in ASN.i 

(Codierungsregeln, Syntaxdef inition, ER). codiert 301. Der co- 
dierte SNMP-Request CSR, d.h. die codierte. Nachricht CN wird 
in einem zweiten Schritt 302 dem jeweiligen kryptographischen 
Verfahren unterzogen. Hierbei werden beispielsweise krypto- 
graphische Schlussel, Parameter zur Angabe des verwendeten 
Algorithmus, sowie zusatzliche Information, allgemein krypto- 
graphische Information VI, zur Durchfuhrung des jeweiligen 
kryptographischen Verfahrens verwendet . 

Der sich ergebende Bit -String BS wird beispielsweise durch 
Auffiillen von Pullbits in einem Schritt 3 03 zu einem OCTET 
STRING OS konvertiert, z.B. unter Verwendung von Padding PA. 
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Die abstrakte Vorgehensweise zur inversen kryptographischen 
Bearbeitung wird entsprechend umgekehrt durchgef iihrt . 

Es ist vorteilhaft, existierende Funktionen zur Sicherung der 
5 Kommunikation im Rahmen von SNMPvl dort anzuwenden, wo es 
moglich ist und diese Sicherheitsf unktionen mit weiteren 
kryptographischen Verfahren zu verstarken, wo es notig ist. 

So ist es vorteilhaft, das Konzept von Community- Strings in 
10 SNMPvl auch im Rahmen dieses Verfahrens zu verwenden. Im Rah- 
men des Konzepts einer Community werden Gruppen def iniert und 
den einzelnen Gruppen Zugrif f srechte fiir die jeweiligen Mit- 
glieder der Gruppe zugeordnet . Eine Community und die der 
Community zugeordneten Zugrif f srechte sind Teil einer Konfi- 
15 guration eines SNMPvl -Agenten . Es ist vorteilhaft, jeweils 

Communities mit spezifischen Sicherheitsmechanismen zu asso- 
ziieren. So ist es beispielsweise moglich, einer Community 
unterschiedliche kryptographische Algrorithmen, kryptographi- 
sche Schliissel und entsprechende Parameter, die im Rahmen des 
2 0 kryptographischen Verfahren jeweils verwendet werden, Mit- 
gliedern der Community zuzuordnen. 

-Standardkonf orme Object -Identifier werden vorzugsweise als 
Angaben verwendet, welche in kryptographischen Verfahren ver- 
2 5 wendet werden sollen. 

Bei der Sicherheitskonf iguration wird vorzugsweise anstelle 
von kryptographischen Schlusseln Object -Identifier auf ge- 
speicherte kryptographische Schliissel verwendet, die im wei- 
30 teren als Schliissel -Identifier bezeichnet werden. Durch diese 
Vorgehensweise wird das jeweilige Schliisselmaterial besser 
gesichert . 

Weiterhin kann das jeweilige Schliisselmaterial dadurch star- 
35 ker geschiitzt werden, dafi beispielsweise die Dateien, in de- 
nen die kryptographischen Schliissel gehalten werden, ver- 
schliisselt werden oder spezielle Hardwareeinheiten zum Schutz 
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der kryptographischen Schliissel vorgesehen sind, beispiels- 
weise Chipkarten. 

Die jeweils zu verwendenden Realisierungsdetails ergeben sich 
aus der Sicherheitspolitik, die entsprechend der Anwendung 
stark variieren kann. 

Authentif ikation des Datenursprungs 

Urn den Sicherheitsdienst der Authentif ikation der Ursprungs- 
daten zu erreichen kann beispielsweise folgende Information 
in der kryptographisch bearbeiteten Nachricht vorgesehen sein 
(vgl. Fig. 4) . 

Der SNMPvl -Request, d.h. die codierte Nachricht CN, wird 
durch die kryptographische Bearbeitung mit folgenden Header- 
bzw. Trailer- Inf ormationen umkapselt, wodurch die kryptogra- 
phisch bearbeitete Nachricht KBN entsteht . 

Ein Authentifikations-Header AH enthalt einen Schliissel - 
Identifier KID, mit dem der jeweils zu verwendende kryptogra- 
phische Schliissel angegeben ist iiber einen Obj ect- Identifier , 
einen Algorithm- Identifier AID, mit dem der jeweils zu ver- 
wendende kryptographische Algorithmus zur Authentif ikation 
angegeben ist, Algorithmus -Parameter AP, mit denen angegeben 
wird, welche Parameter im Rahmen der Authentif ikation verwen- 
det werden, ein Zeitstempel TS sowie eine Zufallszahl RN. 

Ferner ist als Trailerinf ormation TI eine digitale Signatur 
DS vorgesehen. Als Algorithmus zur Authentif ikation kann bei- 
spielsweise das asymmetrische RSA-Verf ahren eingesetzt wer- 
den. 

Zugrif f skontrolle fur Managementinf ormation 

Die SNMPvl- zugrif f skontrolle basiert auf zwei Mechanismen. 
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Erstens wird jedem Managed-Object in einer MIB ein Zugrif fs- 
kontrollwert zugeordnet, der einen der drei folgenden Werte 
auf weist : 

Read-Only, 
5 - Read-Write, 

Write-Only, 

Not - Accessable . 

Zweitens wird jeder Community in dem SNMPvl- 
10 Agentenkonf iguration ein sog. MIB -View zusammen mit den je- 

weiligen Zugrif f srechten zugeordnet . Ein MIB-View enthalt ei- 
ne vorgebbare Anzahl von Object-Identif iern, die die jeweili- 
gen Unterbaume oder sog. Blatter des SNMP-Registratur-Baums 
bezeichnet . 

15 

Die jeweiligen Zugrif fsrechte weisen einen der folgenden Wer- 
te auf : 

Read Only, 

Write-Only, 
20 - Read-Write, 

None . 



Sicherung der Datenintegritat eines SNMP-Requests 

25 Zur Sicherung der Datenintegritat wird ein Mechanismus zur 
kryptographischen Sicherung der Datenintegritat eingesetzt. 
Hierfur werden Datenintegritatspruf summen iiber den gesamten 
SNMPvl -Request oder einen Teil davon gebildet . Dies kann bei- 
spielsweise mittels des DES im sog. Cipher-Block- Chaining - 

30 Mode (CBC-Modus) erfolgen. Fur diesen speziellen Mechanismus 
ist die Verwendung eines 64 Bit langen Inititalisierungswerts 
erf orderlich, der jeder Partei der jeweiligen Sicherheits- 
gruppe bekannt sein mufi. Der Int itialisierungswert ist Teil 
der Algorithmusparameter AP, die in der Header- Information HI 

35 der kryptographisch bearbeiteten Nachricht KBN verwendet wird 
(vgl . Fig. 5). Ferner weist die Header- Information HI einen 
Schliissel- Identifier KID sowie einen Algorithmus- Identifier 
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AID auf, deren Funktionalitat gleich ist wie bei der Authen 
tif ikation. 

Ferner ist in einer Trailer- Information TI ein Integri- 
tatspriifwert ICV vorgesehen. 

Verschliisselung von SNMPvl -Requests 

Vertraulichkeit der ube-rtragenen SNMPvl -Daten kann auf ahnli 
che Weise erfolgen, wie die Sicherung der Datenintegritat . 
Zur Verschliisselung kann beispielsweise wiederum das DES- 
Verfahren im CBC-Modus verwendet werden. In diesem Fall ist 
wiederum ein Initialisierungswert als Algorithmusparameter A] 
und einer Header- Information HI der kryptographisch bearbei- 
teten Nachricht KBN erforderlich (vgl . Fig. 6). 

Wiederum ist in der Header- Information HI ein Schlussel- 
Identifier KID sowie ein Algorithmus- Identifier AID mit oben 
beschriebener Funktionalitat vorgesehen. 

Weiterhin konnen Mechanismen zur Protokollierung der Kommuni 
kation sowie zur Alarmgebung bei Auffinden von Angrif f sversu 
chen vorgesehen sein. 

Das Verfahren und das Computersystem konnen sehr vorteilhaft 
im Rahmen eines Szenarios verwendet werden, bei dem ein An- 
bieter eines Kommunikationsnetzes Bandbreite des Kommunikati 
onsnetzes einem Dienstanbieter zur Verfiigung stellt, der 
Dritten zusatzliche Dienste zur Verfiigung stellt, die das 
Kommunikationsnetz als solche nicht vorsieht . In diesem Zu- 
sammenhang kann das Verfahren sowie das Computersystem vor- 
teilhaft beispielsweise zur Kontrolle oder auch zur Abrech- 
nung der von dem Anbieter des gesamten Kommunikationsnetzes 
zur Verfiigung gestellten Resourcen dienen. In diesem Fall 
wird der Manager auf einem Computer des Anbieters des gesam- 
ten Kommunikationsnetzes realisiert sein und ein Agent je- 
weils bei dem Anbieter zusatzlicher Dienste. 
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In einer Variante des oben beschriebenen Ausf iihrungsbeispiels 
ist es vorgesehen, die Antwortnachricht direkt, ohne Warten 
auf eine Abruf nachricht , zu codieren und an die erste Compu- 
5 tereinheit zu senden. Somit sind folgende Schritte in der 
zweiten Computereinheit nicht erf orderlich : 

- die Codierung einer Abruf nachricht entsprechend dem Codie- 
rungsf ormat des Netzwerkprotokolls in der ersten. Computerein- 
heit, mit der die kryptographisch bearbeitete Antwortnach- 

10 richt von der zweiten Computereinheit angefordert wird, 

- die Ubertragung der Abruf nachricht von der ersten Compu- 
tereinheit zu der zweiten Computereinheit, sowie 

- das Empfangen der Abruf nachricht . 

15 Entsprechendes gilt fur das Computersystem. 

Anschaulich kann das Verfahren derart beschrieben werden, daS 
zu dem standardkonf ormen Netzwerkprotokoll z.B. dem SNMPvl- 
Protokoll auf den jeweiligen SNMP-Request oder auch CMIP- 

20 Request, ein kryptographisches Verfahren angewendet wird, mit 
dem eine kryptographische Sicherung des SNMP-Requests bzw. 
dem CMIP-Request erreicht wird. Urn jedoch die Verwendung 
standardkonf ormer SNMP- Verfahren zu ermoglichen, wird die 
kryptographisch bearbeitete Nachricht wiederum mit dem jewei- 

25 ligen Codierungsf ormat des Netzwerkprotokolls codiert . Dies 
entspricht einer "doppelten" Anwendung des jeweiligen Netz- 
werkprotokolls auf die zu codierende Nachricht. 
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Patentanspriiche 



1. Verfahren zur Codierung einer digitalen Nachricht unter 
Verwendung eines Codierungsf ormats eines Netzwerkprotokolls , 

- bei dem die Nachricht unter Verwendung des Codierungsf or- 
mats des Netzwerkprotokolls zu einer codierten Nachricht co- 
diert wird, 

- bei dem die codierte Nachricht mindestens einem kryptogra- 
phischen Verfahren unterzogen wird, und 

- bei dem die kryptographisch bearbeitete Nachricht unter 
Verwendung des Codierungsf ormats des Netzwerkprotokolls co- 
diert wird. 



2. Verfahren zur Decodierung einer digitalen Nachricht, wel- 
ches in einem Codierungsf ormat eines Netzwerkprotokolls vor- 
liegt , 

- bei dem die Nachricht entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls decodiert wird, 

- bei dem die decodierte kryptographisch bearbeitete Nach- 
richt einem zu dem mindestens einen kryptographischen Verfah- 
ren inversen kryptographischen Verfahren unterzogen wird, und 

- bei dem die invers kryptographisch bearbeitete Nachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls de- 
codiert wird. 



3. Verfahren zur Codierung einer digitalen Nachricht, zur 
Ubertragung der Nachricht von einer ersten Computereinheit zu 
einer zweiten Computereinheit und zur Decodierung der Nach- 
richt, 

- bei dem in der ersten Computereinheit folgende Schritte 
durchgefiihrt werden: 

die Nachricht wird unter Verwendung eines Codierungsf or- 
mats eines Netzwerkprotokolls zu einer codierten Nachricht 
codiert , 

die codierte Nachricht wird mindestens einem kryptographi- 
schen Verfahren wird, 
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die kryptographisch bearbeitete Nachricht wird unter Ver- 
wendung des Codierungs formats des Netzwerkprotokolls codiert, 

- bei dem die codierte kryptographisch bearbeitete Nachricht 
von der ersten Compute re inhe it zu der zweiten Computereinheit 

5 ubertragen wird, 

- bei dem in der zweiten Computereinheit folgende Schritte 
durchge f uhr t werden : 

die empfangene Nachricht wird entsprechend dem Codierungs - 
format des Netzwerkprotokolls decodiert, 
10 - die decodierte kryptographisch bearbeitete Nachricht wird 

einem zu dem mindestens einen kryptographischen Verfahren in- 
versen kryptographischen Verfahren unterzogen, und 

- die invers kryptographisch bearbeitete Nachricht wird ent- 
sprechend dem Codierungs format des Netzwerkprotokolls zu der 

15 digitalen Nachricht decodiert. 

4 . Verfahren nach Anspruch 3 , 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

2 0 - bei dem in der zweiten Computereinheit die angeforderte Ak- 

tion ausgefiihrt wird, und 

- bei dem in der zweiten Computereinheit das Ergebnis der Ak- 
tion in einer Antwortnachricht zu der ersten Computereinheit 
gesendet wird. 

25 

5. Verfahren nach Anspruch 3, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 

3 0 tion ausgefiihrt wird, 

- bei dem in der zweiten Computereinheit eine Antwortnach- 
richt gebildet wird, die ein Ergebnis der Aktion enthalt, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
entsprechend dem Codierungs format des Netzwerkprotokolls co- 

35 diert wird, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
mindestens einem kryptographischen Verfahren unterzogen wird, 
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- bei dem in der zweiten Computereinheit die kryptographisch 
bearbeitete Antwortnachricht gespeichert wird, 

- bei dem in der ersten Computereinheit eine Abruf nachricht 
entsprechend dem Cod ie rungs format des Netzwerkprotokolls co- 
diert wird, mit der die kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit angefordert wird, 

- bei dem die Abruf nachricht von der ersten Computereinheit 
zu der zweiten Computereinheit iibertragen wird, 

- bei dem die Abruf nachricht von der zweiten Computereinheit 
empfangen wird, 

- bei dem die kryptographisch bearbeitete Antwortnachricht 
entsprechend dem Codierungs format des Netzwerkprotokolls co- 
diert wird, und 

- bei dem die codierte kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit zu der ersten Com- 
putereinheit iibertragen wird. 

6 . Verf ahren nach Anspruch 3 ,- 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 
tion ausgefiihrt wird, 

- bei dem in der zweiten Computereinheit eine Antwortnach- 
richt gebildet wird, die ein Ergebnis der Aktion enthalt, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
mindestens einem kryptographischen Verf ahren unterzogen wird, 

- bei dem die kryptographisch bearbeitete Antwortnachricht 
entsprechend dem Codierungsf ormat des ' Netzwerkprotokolls co- 
diert wird, und 

- bei dem die codierte kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit zu der ersten Com- 
putereinheit iibertragen wird. 



7. Verf ahren nach einem der Anspriiche 2 bis 6, 
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bei dem in der zweiten Computereinheit die kryptographisch 
bearbeitete Antwortnachricht in einer Management Information 
Base (MIB) gespeichert wird. 

8. Verfahren nach einem der Anspriiche 1 bis 4, 

bei dem als Netzwerkprotokoll das Simple Network Management 
Protocol Version 1 (SNMPvl) verwendet wird. 

9. Verfahren nach Anspruch 8, 

- bei dem in der ersten Computereinheit bei der Codierung der 
kryptographisch bearbeiteten Nachricht ein Set -Request gebil- 
det wird, und 

- bei dem der Set -Request von der ersten Computereinheit zu 
der zweiten Computereinheit iibertragen wird. 

10. Verfahren nach Anspruch 8 oder 9, 

- bei dem als Abruf nachricht ein Get -Request verwendet wird, 

- bei dem bei der Codierung der angef orderten kryptographisch 
bearbeiteten Antwortnachricht ein Get -Response gebildet wird. 

11. Verfahren nach einem der Anspriiche 4 bis 10, 

bei dem als Aktion eine Inf ormationsabf rage und/oder eine In- 
f ormationsangabe der zweiten Computereinheit iibertragen wird. 

12. Vorrichtung mit mindestens einer Recheneinheit , die der- 
art eingerichtet ist, da£ das Verfahren nach einem der An- 
spriiche 1 bis 11 durchfiihrbar ist. 

13 . Vorrichtung zur Codierung einer digitalen Nachricht unter 
Verwendung eines Codierungsf ormats eines Netzwerkprotokolls , 
das mindestens folgende Komponenten umf a£t : 

- ein erstes Mittel zur Codierung der digitalen Nachricht un- 
ter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
zu einer codierten Nachricht, 

- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 
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- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls . 

5 14. Vorrichtung zur Decodierung einer digitalen Nachricht, 
welches in einem Codierungsf ormat eines Netzwerkprotokolls 
vorliegt, das mindestens folgende Komponenten umfaSt: 

ein funftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit , 
10 ein sechstes Mittel zur Decodierung der empfangenen Nach- 

richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls , 

ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
15 und 

ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls. 

20 15. Vorrichtung zur Codierung einer digitalen Nachricht, zur 
Ubertragung der Nachricht von einer ersten Computereinheit zu 
einer zweiten Computereinheit und zur Decodierung der Nach- 
richt , 

- bei dem eine erste Computereinheit vorgesehen ist, die min- 
25 destens folgende Komponenten umf aSt : 

ein erstes Mittel zur Codierung der digitalen Nachricht 
unter Verwendung eines Codierungsf ormats eines Netzwerkproto- 
kolls zu einer codierten Nachricht, 

-- ein zweites Mittel zur kryptographischen Bearbeitung der 
3 0 codierten Nachricht, 

-- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls , 

-- ein viertes Mittel zum Senden der codierten kryptogra- 
3 5 phisch bearbeiteten Nachricht von der ersten Computereinheit 
zu der zweiten Computereinheit, 
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- bei dem eine zweite Computereinheit vorgesehen ist, die 
mindestens folgende Komponenten umf aJSt : 

ein funftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit, 

ein sechstes Mittel zur Decodierung der empfa.ngenen Nach- 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls, 

ein siebtes Mittel zur inversen kryptographis.chen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

16. Vorrichtung nach Anspruch 13 oder 15, 

bei dem als drittes Mittel das erste Mittel vorgesehen ist . 

17. Vorrichtung nach Anspruch 14 oder 15, 

bei dem als achtes Mittel das sechste Mittel vorgesehen ist. 

18. Vorrichtung nach einem der Anspruche 15 bis 17, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfiihrung der angef orderten Aktion vorgesehen ist, und 

- bei dem in der zweiten Computereinheit ein zehntes Mittel 
zum Senden des Ergebnisses der Aktion zu der ersten Compu- 
tereinheit vorgesehen ist. 

19. Vorrichtung nach einem der Anspriiche 15 bis 18, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfiihrung der angef orderten Aktion vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein elftes Mittel 
zur Bildung einer Antwortnachricht , die ein Ergebnis der Ak- 
tion enthalt, vorgesehen ist, 
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- bei dem in der zweiten Computereinheit ein zwolftes Mittel 
zur Codierung Antwortnachricht entsprechend dem Codierungs- 
format des Netzwerkprotokolls , 

- bei dem in der zweiten Computereinheit ein dreizehntes Mit- 
tel zur Bearbeitung der Antwortnachricht mit mindestens einem 
kryptographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein vierzehntes Mit- 
tel zur Speicherung der kryptographisch bearbeiteten Antwort- 
nachricht vorgesehen ist , 

- bei dem in der ersten Computereinheit ein fiinfzehntes Mit- 
tel zur Bildung und Codierung einer Abruf nachricht entspre- 
chend dem Codierungsformat des Netzwerkprotokolls, mit der 
die kryptographisch bearbeitete Antwortnachricht von der 
zweiten Computereinheit angefordert wird, vorgesehen ist, 

- bei dem in der ersten Computereinheit ein sechzehntes Mit- 
tel zum Senden der Abruf nachricht von der ersten Computerein- 
heit zu der zweiten Computereinheit, vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein siebzehntes Mit- 
tel zum Empfangen der Abruf nachricht vorgesehen ist 

- bei dem in der zweiten Computereinheit ein achtzehntes Mit- 
tel zur Codierung der in der Abruf nachricht angef orderten 
kryptographisch bearbeiteten Antwortnachricht entsprechend 
dem Codierungsformat des Netzwerkprotokolls, vorgesehen ist, 
und 

- bei dem in der zweiten Computereinheit ein neunzehntes Mit- 
tel zum Senden der codierten kryptographisch bearbeiteten 
Antwortnachricht von der zweiten Computereinheit zu der er- 
sten Computereinheit, vorgesehen ist. 

20. Vorrichtung nach einem der Anspruche 15 bis 18, 

- bei dem die digitale. Nachricht eine Anf rage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten . Computereinheit ein neuntes Mittel 
zur Durchftihrung der angef orderten Aktion vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein elftes Mittel 
zur Bildung einer Antwortnachricht, die ein Ergebnis der Ak- 
tion enthalt, vorgesehen ist, 
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- bei dem in der zweiten Computereinheit ein zwolftes Mittel 
zur Codierung Antwortnachricht entsprechend dem Codierungs- 
format des Netzwerkprotokolls, 

- bei dem in der zweiten Computereinheit ein dreizehntes Mit - 
5 tel zur Bearbeitung der Antwortnachricht mit mindestens einem 

kryptographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein achtzehntes Mit- 
tel zur Codierung der kryptographisch bearbeitet.en Antwort- 
nachricht entsprechend dem Codierungsf ormat des Netzwerkpro- 

10 tokolls, vorgesehen ist, und 

- bei dem in der zweiten Computereinheit ein neunzehntes Mit- 
tel zum Senden der codierten kryptographisch bearbeiteten 
Antwortnachricht von der zweiten Computereinheit zu der er- 
sten Computereinheit , vorgesehen ist . 

15 

21. Vorrichtung nach Anspruch 19 oder 20, 

bei dem das vierzehnte Mittel derart ausgestaltet ist,da£ die 
kryptographisch bearbeitete Antwortnachricht in einer Manage- 
ment Information Base (MIB) gespeichert wird . 

20 

22. Vorrichtung nach einem der Anspriiche 13 bis 21, 

das derart ausgestaltet ist, daS als Netzwerkprotokoll das 
Simple Network Management Protocol Version 1 (SNMPvl ) verwen- 
det wird. 

25 

23. Vorrichtung nach Anspruch 13 oder 15, 

- das derart ausgestaltet ist, daS als Netzwerkprotokoll das 
Simple Network Management Protocol Version 1 (SNMPvl) verwen- 
det wird , und 

30 - bei dem das dritte Mittel zur Codierung der kryptographisch 
bearbeiteten Nachricht derart ausgestaltet ist, daS bei der 
Codierung der kryptographisch bearbeiteten Nachricht ein Set- 
Request gebildet wird. 

35 24. Vorrichtung nach Anspruch 22, 
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- bei dem das funfzehnte Mittel zur Bildung und Codierung der 
Abrufnachricht derart ausgestaltet ist, da£ ein Get -Request 
gebildet wird, 

- bei dem das achtzehnte Mittel zur Codierung der in der Ab- 
rufnachricht angeforderten kryptographisch bearbeiteten Ant- 
wortnachricht derart ausgestaltet ist, daS ein Get -Response 
gebildet wird. 

25. Vorrichtung nach einem der Anspruche 15 bis 24, 

bei dem als Aktion eine Inf ormationsabf rage und/oder eine In- 
formationsangabe der zweiten Computereinheit vorgesehen ist. 

26. Vorrichtung nach einem der Anspruche 12 bis 25, 

bei dem das zweite Mittel, das dritte Mittel und das vierte 
Mittel zusammen als ein erster Proxy Agent ausgestaltet sind, 

und/oder 

bei dem das funfte Mittel 1 , das sechste Mittel und das siebte 
Mittel zusammen als ein zweiter Proxy Agent ausgestaltet 
sind. 



.ons- 



27. Kommunikationssystem mit einem Managers eines Kommunika- 
tionsnetzes und eines Zwischenmanagers eines Kommunikatic 
netzes, der das Kommunikationsnetz verwendet und weitere 
Dienste, die uber die von dem Kommunikationsnetz angebotenen 
Dienste hinausgehen, Kunden anbietet mit einem Computersystem 
nach einem der Anspruche 13 bis 26. 
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